Na década de 1980, os engenheiros do grupo Bosch que a tecnologia Controlled Area Network (CAN ou CAN Bus) estavam longe de imaginar que o novo protocolo viria a estar na origem de um alerta de segurança do Departamento de Segurança Interna dos EUA (DHS, na sigla em inglês) para a indústria da aviação – mas foi precisamente isso que aconteceu nesta terça-feira: depois de receber um relatório da empresa de cibersegurança Rapid7, o DHS alertou os fabricantes de aviões de pequeno porte para a necessidade de procederem a mudanças que garantam maior segurança da CAN perante eventuais situações em que hackers têm acesso às aeronaves.
Patrick Kiley, investigador da Rapid7 que liderou a investigação levada a cabo nos últimos dois anos, garante em declarações reproduzidas pela Bloomberg que bastarão cinco minutos para que um hacker consiga aproveitar as vulnerabilidades em causa para aceder aos motores de um avião.
De acordo com o relatório de segurança da Rapid7, alguém malicioso poderá introduzir-se facilmente no sistema de comunicações que interliga os diferentes instrumentos de um avião para gerar disrupção ou trocar mensagens falsas que poderão levar o sistema interno a apresentar resultados falsificados relativamente ao estado de um voo. Para levar a cabo esse tipo de ataque, tudo o que um hacker precisa é de alguns minutos para conectar um dispositivo na rede CAN de um avião, informa a Associated Press.
As falhas só estarão presentes em aviões que já têm sistemas de comunicação digitais. Aparentemente, os sistemas de aviões de maior porte, por concentrarem maiores atenções e envolverem dispositivos mais complexos, não estarão vulneráveis do protocolo CAN, que ainda não foram detalhadas pelo DHS.
Na sequência deste relatório da Rapid7, o alerta do DHS lançou um alerta que deverá centrar as atenções de fabricantes, aeroportos e autoridades aéreas para o facto de as vulnerabilidades identificadas no protocolo de comunicações CAN poder ser usado para manipular dados relativos aos motores, compasso, altitude, entre outros indicadores, noticia a Bloomberg.
Com a segurança no topo da ordem do dia, há quem admita que o acesso físico a um avião, mesmo que de pequenas dimensões, está cada vez mais restringido. O que não impedirá alguém mal-intencionado de tentar encontrar uma forma de garantir o acesso a um avião durante uma viagem, ou de tentar recrutar alguém com acesso facilitado num aeroporto. E uma vez garantido o acesso a essa aeronave e a instalação de dispositivos maliciosos à rede CAN, são na ordem das «centenas» as possibilidades de ataque que podem ser exploradas, recordam os investigadores da Rapid7.
Questionado pela Bloomberg, Chris King, especialista em cibersegurança que acompanhou este “caso” não tem dúvidas de que «a CAN Bus é completamente insegura». «Não foi desenhada para ser usada num ambiente adverso» – e por isso não está capacitada para distinguir comunicações legítimas e comunicações forjadas.
